TR/Drop.Agen.QF.3.A.

Dieses Thema TR/Drop.Agen.QF.3.A. im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von magic_pit, 8. Apr. 2006.

Thema: TR/Drop.Agen.QF.3.A. Hallo, nun hats mich auch erwischt mit dem Dreck Habe hier lt. Antivir den TR/Drop.Agen.QF.3.A. am PC. Trotz...

  1. Hallo, nun hats mich auch erwischt mit dem Dreck

    Habe hier lt. Antivir den TR/Drop.Agen.QF.3.A. am PC.

    Trotz mehrmaligen Löschens ist das Mistding immer wieder auf der Platte.
    Zusätzlich scheint das Teil noch Spyware zu installieren, welches trotz Säuberung mittels Spybot und AdAware auch immer wieder auftaucht.
    Z.b. kommt über die Windowswarnmeldung in der Taskleiste die dringende Warnung, ich solle doch bitte eine Antisypsoftware kaufen die ich auf der Kiste hätte, auch Poppen jetzt ständig neue Werbefenster auf (für wielange muß ich ins Gefängnis, wenn ich den zuständigen Verantwortlichen die Hände abhacke? :tickedoff: )

    Aber mal Wut verrauchen lassen und nun der Hilferuf:
    Wie kriege ich das Mistteil dauerhaft wieder runter von meiner Kiste?

    Danke im voraus

    Pit
     
  2. hast du es mal mit Hijackthis probiert? Falls nicht, www.hijackthis.de runterladen, dort dann das logg prüfen lassen.

    würde auch mal ein paar kostenlose antivieren programme drüber laufen lassen.
    z.b.
    ewido
    avast
    antivir
    spybot

    bekommst du fast alle bei chip.de sonst einfach bei google eingeben!

    gruß
    nico
     
  3. So, habe mal Hijack ausgeführt wie empfohlen.
    Mir sagt da zwar gar nix drin, aber ich hoffe es findet sich ein Experte.
    Die von Antivir angemahnte Datei ist übrigens noch in Quarantäne (sollte es für Hijack-Auswertung wichtig sein)


    Logfile of HijackThis v1.99.1
    Scan saved at 18:47:41, on 08.04.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
    C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\mssearchnet.exe
    C:\WINDOWS\system32\nvraidservice.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\carpserv.exe
    C:\Programme\CyberLink\PowerCinema\PCMService.exe
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
    C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
    C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
    C:\Programme\AOL 9.0\aoltray.exe
    C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
    C:\WINDOWS\system32\wbem\unsecapp.exe
    C:\Programme\AOL 9.0\waol.exe
    C:\Programme\AOL 9.0\shellmon.exe
    C:\Programme\Avant Browser\avant.exe
    C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
    C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
    J:\Downloads\software\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.targa.de
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://officeupdate.microsoft.com/office/redirect/10/MSOfficeOnTheWeb.asp?DPC={911B0407-6000-11D3-8CFE-0050048383C9}
    &DCC={8E46FEFA-D973-6294-B305-E968CEDFFCB9}&AppName=Microsoft%20Word&CLCID=1031
    O2 - BHO: (no name) - {7a932ed2-1737-4ab8-b84d-c71779958551} - (no file)
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [PCMService] C:\Programme\CyberLink\PowerCinema\PCMService.exe
    O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
    O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
    O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_7 -reboot 1
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
    O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
    O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
    O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
    O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
    O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127335621765
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129053480109
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E1AF144E-5D2F-49AD-B8CC-698BC55311CB}: NameServer = 205.188.146.145
    O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - (no file)
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    Zeilenumbruch eingefügt
     
  4. Sodala, jetzt habe ich mal im abgesicherten Modus diese komische MSSEARCHNET.dll gelöscht.
    Beim normalen Wiederstarten ist sie jetzt ersteinmal verschwunden.
    Ich hoffe, die Datei war nicht schon vorher vorhanden und wurde durch das Ding nur modifiziert....
    Die anderen Sachen, auf die der Link von Nicooler22 verwies, waren mir als relativer Anfänger zu schwer zum nachzuvollziehen und bevor ich alles total zerstöre....

    Allerdings scheint noch irgendwo ein Rest von dem Kerl auf dem PC zu sein.
    Meine Firewall fragt an, ob ein Programm Namens Windows-NT-Anmeldung Zugriff auf das Internet bekommen darf.
    Probeweise habe ich mal kurz ja gesagt und schon hatte ich den ganzen Müll wieder druff.
    Ok, jetzt also wieder mittels abgesicherten Modus den Dreck weg.

    Könnte sich erneut ein nettes Helferlein einer armen PC-Seele erbarmen?
    Was für ein Programm könnte für den frechen Versuch zuständig sein?

    EDIT bzw. NACHTRAG: hinter dem Windows-NT-Anmeldung verbirgt sich winlogon.exe. Ist das eine normale Datei oder eine reine Trojaner-datei?
     
  5. winlogon.exe Windows-NT-Anmeldung:
    http://www.wintotal.de/Spyware/index.php?Filter=W#Spyware231

    pan_fee ;)
     
  6. Hallo PCDpan_fee

    ich habe mir den Link angeguckt.
    Ich werde nicht ganz schlau daraus, da es mehrere Lösungsmöglichkeiten für Probleme mit winlogon.exe gibt.
    5x unter Schädlinge und 1x als (wohl) normale Systemanmeldung.

    Woher kann ich mir sicher sein, daß ich jetzt nicht versehentlich die normale Lösche bzw. von den restl. 5 Lösungsmöglichkeiten die richtige herausfinde?
    Ok, ich habe XP und nicht NT, aber trotzdem möchte ich nicht ohne vorheriges Ok so munter drauf los löschen.
    oh, habs jetzt erst grad gesehen was unter der einen normalen Systemdatei steht:
    Systemdatei für NT/2000/XP
    Also ich bin mir nicht so sicher ob ich da so drauf los löschen soll?

    Mit der normalen Windows-Suchfunktion naoch winlogon habe ich 2 Einträge gefunden
    a) C\Windows\i386           vom Typ EX_-Datei
    b) C\Windows\system32   vom Typ exe



    Was mich halt irritiert ist, daß ich mit heute den Trojaner eingefangen habe, das letzte Änderungsdatum dieser beiden Dateien allerdings schon vom letzten Dienstag sind.

    Dake im voraus
     
  7. Ich habs jetzt aufgegeben, das Mistding kam doch immer wieder.
    Nachdem mir die anderen Lösungen die hier freundlicherweise mit Links gepostet wurden als Anfänger zu kompliziert waren, habe ich einen früheren Wiederherstellungspunkt wieder erstellt und fort ist das Teil.

    Eine Frage hätte ich doch noch, da ich ein Verständnisproblem habe.

    Den Trojaner habe ich mir durch Besuch einer Site eingefangen. Ich kann mich erinnern daß da beim Laden der Site so ein komisches Verzögern war und dann kam der Ladeabbruch.
    Nachdem nun mein Antivir und das Antispy-Programm jeweils angeschlagen haben beim Versuch des Lumpen, hier was anzustellen, frage ich mich nun, wie kann es sein daß beide Progrs nicht schon beim Runterladen des Schädlings Alarm geschlagen haben?
    Könnte mich da ein freundlicher Helferlein aufklären bitte?

    Txs im voraus
     
  8. Hey magic_pit

    #Lade dir SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.php auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter,wenn diese Frage o/n kommt muss du mit Taste o beatätigen,

    #PC neustarten
    #Lade dir SmitRem.exe http://noahdfear.geekstogo.com ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

    #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

    #PC neustarten--> abgesicherter Modus
    Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
    Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

    #PC neustarten--> abgesicherter Modus
    #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

    #Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten.

    #Inhalt folgende ordner loeschen:
    C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
    C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
    C:\WINDOWS\temp---> Inhalt löschen
    C:\WINDOWS\Prefetch---> Inhalt löschen

    Bitte Folgende Ergebnis posten!
    #PC neustarten:
    #Neue HijackThis Log, den Report des Ewido Scans, & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

    Gruss
    Mopao